Как сбои в операционной безопасности влияют на хакеров

Каждый день большинство из нас оставляет за собой следы в Интернете, включая разрозненные фрагменты данных, с помощью которых впоследствии можно будет узнать о деятельности человека и прорваться сквозь завесу анонимности, пишет CSO. Борьба за предотвращение того, чтобы злоумышленники сложили эти кусочки головоломки воедино, известна как операционная безопасность (opsec).

Большинство из нас не слишком много думают обо всем этом: никто не пытается нас выследить, и если бы они это сделали, последствия не были бы слишком тревожными. Но есть те, для кого ставки намного выше. Было бы так плохо, если бы кто-то узнал в ваших анонимных учетных записях в социальных сетях название одного из ваших больших рабочих проектов или тему вашей дипломной работы? Может быть, если бы вы были директором ФБР. Имеет ли значение, если в селфи, которые вы загружаете в социальные сети, встроены данные о местоположении, или ваш фитнес-трекер отправляет анонимные данные о вашем маршруте бега своему производителю? Может, если вы солдат на секретной военной базе или в стране, куда ваше правительство клянется, что не посылало войск.

Хакеры и киберпреступники - как внештатные, так и спонсируемые государством - обычно используют любые сбои в opsec, сделанные потенциальными жертвами. Вот почему, возможно, удивительно, что эти злоумышленники часто сами не могут замести свои следы в сети, будь то из-за высокомерия, некомпетентности или сочетания этих двух факторов. Вы можете рассматривать эти инциденты как моральные игры, в которых плохие парни получают возмездие, но, возможно, лучше думать о них как о предостерегающих историях: вы можете не шпионить в пользу китайского правительства и не управлять интернет-рынком наркотиков, но вы можете попасть в ловушку. те же ошибки, что и эти киберпреступники, к вашей опасности.

Все дороги ведут к Dread Pirate Roberts

В течение нескольких лет в начале 2010-х годов Silk Road был источником восхищения и как для исследователей компьютерной безопасности, так и для правоохранительных органов. Подпольная торговая площадка, на которой пользователи могли обменивать криптовалюту на наркотики, оружие и другие незаконные товары и услуги, привнесла идею даркнета, а также знания о Tor и биткойнах в сознание обычных людей. Казалось, что это действительно предвещает будущее, в котором анонимные онлайн-транзакции сделают мир более опасным или захватывающим.

Была только одна загвоздка: это было менее анонимно, чем могло показаться. Основатель и администратор Silk Road, известный под именем Dread Pirate Roberts, вскоре был идентифицирован как житель штата Техас в США по имени Росс Ульбрихт, он был арестован - не потому, что его технология анонимизации не сработала, а потому, что, как выяснилось, он добровольно оставил свои данные в Интернете. 

В 2011 году пользователь с идентификатором altoid разместил на форуме биткоинов о новой скрытой службе, которую назвал «анонимным amazon.com», со ссылкой на сайт по адресу silkroad420.wordpress.com. Спустя несколько месяцев тот же пользователь написал, что хочет нанять «ИТ-профессионала в биткоин-сообществе», и призвал кандидатов писать на rossulbricht@gmail.com. Этот адрес Gmail, в свою очередь, был связан с учетной записью Google+, в которой размещался контент об австрийской экономической теории, наборе либертарианских идей, который также был предметом публикаций на Silk Road от пользователя Dread Pirate Roberts.

В начале 2012 года пользователь StackOverflow с ником Росс Ульбрихт опубликовал запрос о помощи в подключении к Tor с помощью PHP - техники, которую, как оказалось, в конечном итоге использовал Silk Road. Ульбрихт изменил это имя пользователя менее чем через минуту после публикации запроса, но оригинал остался на серверах StackOverflow. Ульбрихта выследили и арестовали в конце 2013 года, и в настоящее время он отбывает пожизненное заключение в тюрьме.

Торговые площадки плохих идей

Учитывая, что Ульбрихт был пионером в сфере рынка даркнета, а также ярким примером opsec, можно подумать, что последующие торговцы в даркнете поняли намек его судьбы и откорректировали собственные действия. Но некоторые, казалось, были полны решимости повторить его ошибки.

Например, в 2017 году власти США и Нидерландов закрыли AlphaBay, еще один рынок наркотиков в дарк вебе, и арестовали Александра Казеса, его главу. Представители правоохранительных органов отметили, что электронные письма, которые пользователи AlphaBay получали при регистрации или сбросе пароля, содержали в заголовках адрес электронной почты Pimp_Alex_91@hotmail.com. (Неясно, какая часть этого письма должна была вызывать большее смущение для предполагаемого криминального вдохновителя, «Pimp_Alex_91» или «hotmail.com».) Это электронное письмо было связано с некоторыми сообщениями 2008 года на техническом онлайн-форуме, которые были отправлены пользователем Alpha02 (также имя пользователя администратора AlphaBay; повторно используемые имена пользователей - частый сбой в opsec) и настоящее имя Cazes.

Некоторые отдельные продавцы на AlphaBay были сбиты с толку из-за аналогичных ошибок. Например, Эмиль Бабаджов продавал наркотики на сайте с учетной записью, привязанной к адресу электронной почты babadjov@gmail.com; это привело ФБР к учетной записи Coinbase и профилю в Facebook с хитроумно перевернутым названием «Лайм Войдабаб». Хосе Роберт Поррас, тем временем, был гораздо более осмотрительным, но он совершил ошибку, разместив фотографию своей руки, держащей запрещенные вещества, на своей странице AlphaBay. Качество фотографий было достаточно высоким, чтобы полицейские могли увидеть его отпечатки пальцев и сопоставить их с отпечатками, которые были у них.

Шпионы: как и мы?

Возможно, неудивительно, что интернет-торговцы наркотиками не самые осмотрительные люди в своем поведении. Но вы могли бы подумать, что спонсируемые государством хакеры - предположительно набранные за свои навыки в области кибербезопасности и слишком хорошо знакомые с отказами opsec своих жертв - будут с меньшей вероятностью ошибиться, когда дело доходит до их собственной личности. Однако ряд недавних громких примеров показал, что это не так.

Возьмем, к примеру, китайскую военную хакерскую группу, достаточно устрашающую, называемую в США как APT1 (что означает «продвинутая постоянная угроза»). Несмотря на свою репутацию, эта группа совершила некоторые из тех же ошибок, которые мы видели в наших примерах дарк веба, например, повторно использовала имена пользователей на сайтах. 

Один из участников APT1 фактически подписал исходный код, который он написал для хакерских инструментов группы, псевдонимом «Ugly Gorilla». Этот дескриптор, в свою очередь, мог быть связан с сообщениями о программировании, которые были связаны с его настоящим именем Ван Донг. Некоторые из этих сайтов сами пострадали от утечки данных, при этом информация о пользователях публиковалась в дарк вебе, что позволило американским исследователям подключить Ванга к определенному IP-адресу, который, как оказалось, также использовал APT1.

В целом группа использовала предсказуемые соглашения об именах для своих пользователей, кода и даже паролей. Другой способ, которым они были настолько последовательны, что облажались сами: их рабочее время. Большая часть активности, связанной с группой, с указанием времени происходила в рабочие часы в китайской столице - Пекине. Это не только указывало на их местонахождение, но и указывало на то, что они были профессионалами, а не активистами или энтузиастами, занимающимися взломом в свободное время.

Отдавая королевство

В APT1 отмечалось, что один из способов использования дыр в opsec - это отслеживание IP-адресов серверов, связанных с отслеживаемой группой. Это может многое рассказать цели, и, если повезет, можно провести небольшой контрвзлом, когда есть часть инфраструктуры хакеров в поле зрения.

Так было в двух недавних сценариях контрразведки. В одном из них участвовала поддерживаемая Ираном хакерская группа APT35, также известная как Charming Kitten. Группа хранила гигабайты данных, которые были добыты из военных систем США и Греции, на облачном сервере, но параметры безопасности для этого сервера были неправильно настроены, поэтому, когда исследователи безопасности отследили их, они смогли найти всевозможные файлы. Вероятно, ни один из них не был более важным для понимания мотивов и возможностей APT35, чем серия видеозаписей с экрана, показывающих, что члены группы занимаются хакерской деятельностью. Похоже, что это демонстрационные видеоролики, возможно, в учебных целях, чтобы показать новым участникам методы работы группы.

Между тем, другая группа, идентифицированная исследователями как «государственный субъект», хотя государство, о котором идет речь, не было названо, была обнаружена путем связи с командно-контрольным сервером для новой части вредоносного ПО. Опять же, хорошая opsec потребует, чтобы любой такой сервер был надежно заблокирован и не содержал никаких данных, которые можно было бы идентифицировать или проследить.

Эта группа, очевидно, не чувствовала необходимости в такой гигиене. На сервере хранились данные, в том числе обширный набор сообщений WhatsApp, в которых члены группы обсуждали, как лучше всего использовать свой бюджет, выделенный государством, - должны ли они создавать собственное вредоносное ПО, которое могло бы эксфильтровать данные с устройств Android или iOS или купить его.

В конечном итоге они решили разработать вредоносное ПО собственными силами - и, используя восхитительно самодостаточный поворот, протестировали его на одном из своих телефонов, извлекая данные обмена сообщениями WhatsApp, в которых они обсуждали разработку вредоносного ПО. Это предупреждение для ИТ-специалистов во всем мире, что можно быть достаточно смекалистыми, чтобы написать очень умный и эффективный код, и достаточно глупо испортить свой opsec.